[[442714]]

本文轉(zhuǎn)載自微信公眾號(hào)「Java極客技術(shù)」，作者鴨血粉絲Tang。轉(zhuǎn)載本文請(qǐng)聯(lián)系Java極客技術(shù)公眾號(hào)。

相信大家最近都看到了兩個(gè)新聞，一個(gè)是 Log4j2 的漏洞事件，一個(gè)是阿里云被工信部暫停合作六個(gè)月。這兩個(gè)事件的關(guān)聯(lián)是因?yàn)楣ば挪堪l(fā)布通告說阿里云在合作期間未及時(shí)告知合作伙伴 Log4j2 的漏洞，沒有有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。原文如下：

事情被曝光出來后，在某乎和某脈上面也引起了廣泛的討論，主要討論的點(diǎn)有兩個(gè)：1. 發(fā)現(xiàn)漏洞的員工績(jī)效應(yīng)該是 3.75 還是 3.25?2. 阿里云的做法是否有問題。

在阿粉看來，這個(gè)問題本身應(yīng)該是管理問題并非技術(shù)問題，發(fā)現(xiàn)漏洞的人很有可能是一線安全員，發(fā)現(xiàn)了一個(gè)漏洞按照業(yè)界慣例以郵件方式向軟件開發(fā)方 Apache 開源社區(qū)報(bào)告這一問題請(qǐng)求幫助，技術(shù)人員對(duì)影響的范圍不能考慮的很全面，而且公司員工那么多，并不是每個(gè)人都清楚跟工信部報(bào)告的流程，所以這大概率是管理問題。

這么來看發(fā)現(xiàn)漏洞的安全人員，從技術(shù)的角度來看打個(gè) 3.75 是不過分的，不過還是要看領(lǐng)導(dǎo)是什么樣的人呢，畢竟帶來的影響也不小，萬一被穿小鞋了呢?

另外在漏洞報(bào)告到全報(bào)爆發(fā)持續(xù)了十多天的時(shí)間，這一段時(shí)間其影響范圍已經(jīng)明顯很廣泛了，這個(gè)時(shí)候阿里云卻沒有引起重視，未及時(shí)上報(bào)工信部，著實(shí)是有很大的問題。既然阿里云跟工信部是合作伙伴的關(guān)系，有責(zé)任和義務(wù)及時(shí)上報(bào)工信部，同時(shí)阿里云作為國(guó)內(nèi)主要的云計(jì)算廠商，阿里作為國(guó)內(nèi)頭部企業(yè)已經(jīng)不單單是一家公司，一家企業(yè)了，要承擔(dān)更多的社會(huì)責(zé)任，把自身的利益跟國(guó)家的利益綁定在一起。

針對(duì)這件事情有網(wǎng)友說到下面幾種情況，很值得品一品：

• 如果說發(fā)現(xiàn)漏洞先報(bào)告國(guó)家，再通知 Apache，這算屁股紅。
• 如果說發(fā)現(xiàn)漏洞先報(bào)告 Apache 再馬上告訴國(guó)家，這算技術(shù)牛，懂大局。
• 如果說發(fā)現(xiàn)漏洞先報(bào)告 Apache 再規(guī)定時(shí)間內(nèi)告訴國(guó)家，這算正常商業(yè)，無可厚非。
• 如果說發(fā)現(xiàn)漏洞先報(bào)告 Apache 然后就不管，等 Apache 公布漏洞后，國(guó)家才知道，這就有意思了。

原本在 12.10 號(hào)漏洞剛剛在網(wǎng)上暴露的時(shí)候，很多人都在討論，是哪家公司，哪個(gè)大牛發(fā)現(xiàn)了這個(gè)漏洞，當(dāng)時(shí)有消息說是阿里云最新發(fā)現(xiàn)并上報(bào)的，大家都還很贊賞，別說是阿里，當(dāng)時(shí)估計(jì)很多人都不知道這個(gè)要上報(bào)工信部。

不過話說回來，工信部的通報(bào)還是很對(duì)的，這件事情從大局的角度來看，確實(shí)是阿里云做的不對(duì)，缺乏主動(dòng)報(bào)備意識(shí)，說白了這種級(jí)別的安全漏洞如果被黑客或者其他不法分子加以利用的話，說不定會(huì)造成無法估計(jì)的后果。暫停六個(gè)月的合作懲罰不算輕也不算重，但是對(duì)名譽(yù)還是有所影響的，只能說后期在流程這塊要更加注重。 

不過也不用過于擔(dān)心，畢竟阿里云作為國(guó)內(nèi)以及國(guó)際上頂尖的云計(jì)算公司，每天發(fā)現(xiàn)的漏洞可能成千上百，偶爾遇到這樣一次核彈級(jí)的漏洞再加上這樣的管理失誤也不會(huì)很多，相信后面漏洞管理流程會(huì)越來越完善。